読者です 読者をやめる 読者になる 読者になる

文系プログラマによるTIPSブログ

文系プログラマ脳の私が開発現場で学んだ事やプログラミングのTIPSをまとめています。

パスワードを1Passwordで管理するようにして解った事

ソフトウェア

1Passwordというパスワード管理ソフトを導入して数ヶ月経ったので、気づいた点を書いてみます。

1Password

1Password

1Password

  • AgileBits Inc.
  • 仕事効率化
  • ¥3,000

1Passwordはパスワード管理ソフトです。

パスワードジェネレータを内蔵していて、例えば以下のようにランダムなパスワードを桁数指定して生成する事ができます。
f:id:treeapps:20150507003506p:plain

そしてこれを管理する事ができるのが1Passwordというソフトです。

1Passwordを使うようになったきっかけ

twitterの放置アカウントを乗っ取られたから

です。

乗っ取られてアフィリエイトのツイートを垂れ流し始めた時は驚きました。放置していたアカウントはパスワードは8桁程度だったんですが、見事破られてしまいました。他にも、Googleから「不審なログイン試行があったよ」通知が結構沢山来るようになったのも理由の一つです。

パスワード管理ソフトを使うと何が嬉しいか

自分でパスワードを考える必要が無くなる

自分でパスワードを考える必要が無く、パスワードジェネレーターを使って、完全にランダムで強度の高いパスワードを作る事が簡単にできるようになります。人間がパスワードを考えると、必ず何かしらの人生経験に沿ったパターンからパスワードを作ってしまいます。そういったパターンを作らずパスワードを機械的に作る良い習慣が強制的に付くようになります。

パスワードを覚える必要が無くなる

パスワード管理ソフトを使うと、クラウド上にパスワードが保存されるので覚える必要が無くなります。

1Passwordの場合はマスターパスワードを1個だけ設定する必要があります。
f:id:treeapps:20150507013046p:plain

パスワードが漏洩しにくくなる

覚えるべきパスワードがこのマスターパスワード1個になるので、紙やテキストエディタにメモる必要性が無くなるので、うっかり漏洩する機会が激減します。

このマスターパスワードでログインするのですが、一定時間経過するとログアウトされる設定もできますし、1Passwordでコピーしたパスワードが一定時間を経過するとクリップボードからクリアされる設定もあるので、漏洩の危険性が減ります。(逆にこれが鬱陶しく感じる事もありますが、強制的に漏洩しにくくなる構造なので我慢我慢)

パスワード管理ソフトを使わないと何が困るか

パスワードを自分で考える危険性

自分でパスワードを考えると、生年月日や住所の一部やサイト名の一部等の情報を使ってしまいがちなので、パスワードを破られる事があります。パスワードジェネレータでパスワードを生成すると、機械的なランダムな文字列なので、非常に突破されにくくなります。

パスワードを覚えきれない

色々なショッピングサイトのアカウントを持っている人が多いと思いますが、覚え切れますか?ほとんどのサイトのパスワードが同じになっていませんか?よくネットで見る「覚えやすく破られにくいパスワードの作り方」ですが、これは数が増えればそのうち破綻しますし、何より特定のパターンを持つパスワードは破りやすいので、危険です。パターンを持つと総当りしやすかったり、パターンの傾向を掴み易いのです。

アニメ攻殻機動隊イノセンスでは、バトーさんが特定の行動パターンをしていたせいで、行動パターンを読まれてしまいました。能力の高い人でもパターンを作ってしまうと読まれて突破されてしまいます。

パスワードをメモる危険性

Google DriveやDropboxやテキストエディタ等に、平文でID/PASSを管理している人って実は多いのではないでしょうか。それがどれだけ危険かを認識すべきです。うっかりクラウドの設定が「public」等になっていて、誰でも閲覧できるような状態になっていたりすると目も当てられません。

また、最初はDropboxに保存していたが、Google Driveに保存するようになったが、Dropboxに保存しておいたパスワードのメモを削除し忘れて漏洩してた、なんて事も起こりえます。

TVドラマ半沢直樹では、暗証番号をメモった紙を机の下に隠していた事がバレて突破されたりする描写もありました。

1Passwordを使って気づいた事

パスワードの桁数が・・・

各サイトでパスワードジェネレータで生成したパスワードを設定する訳ですが・・・

パスワードの最大桁数が10桁しか入力できない!!

とあるクレジットカードのサイトがパスワードの最大桁数が10桁くらいしか無くてビックリしました。「パスワードを定期的に変更しましょう!」と書くのに、そもそも桁数の上限が少なすぎませんかね。。。セキュリティ強化を!とか叫ぶ前に桁数を増やしましょう。

パスワードがコピペできない・・・!?

パスワードのコピペができない仕様!!

のサイトがあるのです。

パスワードがコピペできなサイトは非常に困りました。パスワードジェネレータで50桁のランダム文字列をコピペしようとしたらコピペできない!!50桁も手で入力するのはしんどすぎるのです・・・「ドラクエ2のふっかつのじゅもんかよ!!」と思ってしまいました。最近こういったパスワード管理ソフトが増えた事で、桁数が多いパスワードが設定される事が増えてきているので、時代に合わせてコピペさせて欲しいですね・・・

コピペできないと「コピペできねーのかよ・・・なら短いパスワードにすっか」となって、破られやすいパスワードが設定されやすくなり、危険性が増すと思うので、百害あって一理無しなのではないでしょうか。

そもそも何故コピペできない仕様にするのでしょうか。パスワードに「tree」とコピペしようとして、実はコピーミスで「tre」と貼り付けてしまうようなミスを無くすためでしょうかね?そのミスよりも、コピペできない事で短いパスワードが設定され易くなる状況を作る方が遥かに危険だと思うのです。

うっかりミス

この1Passwordは色々なデバイスでパスワードを同期できるのですが、私はiCloudで同期しています。そのiCloudのパスワードも1Passwordのパスワードジェネレータで設定していました。自宅のiMacとiPadで1Passwordの同期設定が終わったので、ついでに自宅に無いもう1台のmacにも導入しとくか〜とか軽く考えていたのですが・・・

同期するためのiCloudの数十桁のパスワードが解らん・・・オワタ・・・

というアホな事しました。同期するためのiCloudのパスワードがそもそも解らないという・・・

雑感

1Passwordを導入して、パスワードを覚える必要性が無くなり、漏洩の心配も大分減りました。「あのサイトのパスワードなんだっけ・・?」とか悩む事も一切なくなりました。

将来的には生体認証が流行るのかもしれませんが、色々なデバイスで生体認証が標準搭載されないとデバイス間の同期ができないので、私が生きている間には本格的に普及する事は無いかな〜と思っています。

AppleのTouch ID等が生体認証ではありますが、利権の問題で他の企業(Googleとか)は100%独自規格を打ち出してくるので、サービス毎に認証方式が異なってしまったり、あっちでもこっちでも生体認証登録が必要になり、重複して登録しないといけない未来が見えます・・・・HDMI・DisplayPort等の規格が乱立しているのと同じですね。

しかし生体認証が普及しても、今度はルパンのように目や手を偽造して突破されたりして、結局パスワード問題は解決しないかもしれませんね。

我々人類がパスワード問題から解き放たれる日は来るのだろうか・・

1Password

1Password

  • AgileBits Inc.
  • 仕事効率化
  • ¥3,000

1Password

1Password

  • AgileBits Inc.
  • 仕事効率化
  • ¥3,000
パスワード解析 完全版

パスワード解析 完全版